MTI

Még mindig korai temetni a jelszavakat

Évekkel azután, hogy megjósolták a jelszavak kiiktatásának lehetőségét, a biztonsági szakértők fokozott erőfeszítéseket tesznek ígéretük beváltására: az alternatív helyettesítésre.

Igen keserves dolog állandóan felidézni a különböző jelszavainkat. Mennyivel egyszerűbb lenne, ha bonyolult betű-szám-karakter kombinációk begépelése helyett csupán könnyedén meg kellene érintenünk a képernyőt vagy kimondanunk egy egyszerű mondatot? Ezekben az ötletekben nincs semmiféle túlzás. Brooklyni fejlesztők már arra "tanítják" az iPadeket, hogy ismerjék fel a tulajdonosokat ujjaik érintése alapján (elég végigsimítani az érintőképernyőn). Egyes bankok pedig olyan szoftvert használnak, amely a hang felismerésével képes biztonságosabbá tenni a szabványos PIN-kódok használatát.

"Ha valaki megkérdezi, mit tartok a legnagyobb kellemetlenségnek az életemben, habozás nélkül azt mondom, hogy annak a 40 különböző jelszónak a felidézését, amelyeket létre kellett hoznom, és folyamatosan változtatgatni vagyok kénytelen" - nyilatkozta a The New York Times tudósítójának az iPad-projektet irányító Nasir Memon, a New York University Polytechnic Institute számítástechnika-professzora. Sokan egyetértenének vele. A jelszó kényelmetlen digitális teherré vált: fontos kulcs ugyan sok eszközhöz és szolgáltatáshoz, de egyre növekvő mértékben az elkeseredés és a kétes értékű biztonság forrása is.


Nasir Memon

Az amerikai védelmi minisztériummal szerződött kutatók olyan módokat keresnek, amelyek révén jelszóként használhatók valakinek a gépelési szokásai, ezáltal folytonosan igazolni lehet az azonosságot. Szerintük ez a megoldás különösen akkor lehet értékes, amikor egy katona laptopja harci helyzetben ellenséges kezekbe kerül.

Egy hétköznapibb példával a Google szolgált. Nemrégiben elkezdte arra ösztönözni a felhasználókat, hogy próbáljanak meg áttérni egy két lépésből álló bejelentkezésre: a jelszó mellett egy, a telefonjaikra eljuttatott kód begépelése lenne hivatott a nagyobb adatbiztonság elérésére. A Google legújabb Android szoftvere a tulajdonos arcát felismerve hozzáférést enged a telefonhoz, de a megoldás biztonságossága erősen megkérdőjelezhető, hiszen be lehet csapni azzal, ha valaki a tulajdonos fényképét mutatja meg a készüléknek.

Mindazonáltal ezeknek az egyébként biztató fejlesztéseknek a hallatán is korai lenne még kimondani - mint ahogy még 2004-ben Bill Gates is alaposan elsiette a maga ezzel kapcsolatos bejelentését -, hogy a klasszikus jelszavak napja leáldozott. A Microsoft szakértője, Cormac Herley kifejezetten károsnak tartja a hangzatos megnyilvánulás - "a jelszó halott" - széles körű terjedését, mert épp azokat a kutatásokat nehezíti meg, amelyek célja a jelenleg kétmilliárd ember által használt jelszavak alternatívájának kidolgozása. Herley inkább azt javasolja a fejlesztőknek, hogy a jelszóhasználathoz igyekezzenek nagyobb támogatást nyújtani, például azzal, hogy hatékonyabban megvédik a vezeték nélküli hálózati kapcsolatokat a hallgatódzóktól. Szerinte a jelszavak bizonyították, hogy keményen ellenállnak: azok, akik megpróbálták kiváltani a használatukat, nagyot tévedtek.

A brooklyni professzornak és csapatának érintőképernyős megközelítése viszont működőképes, mert arra a tényre épít, hogy mindenki másképp - egyedülálló módon - gesztikulál. Különbözőek az ujjak, különböző sebességű a mozgásuk, különböző a hozzájuk kapcsolt érzékelés. Az ilyen jellemzőkre építő beléptetés egyszerű, és attól az idegenkedéstől sem kell tartani, amely a különböző biometrikus azonosítási rendszerek - így az íriszfelismerés - bevezetésekor keletkezett hátborzongató képzetekből fakadt. A kutatások során a népszerű gesztusok közül választották ki a leginkább intuitívakat. Az egyik ilyen egy kombinációs zár elfordítása volt kilencven fokkal, egy másik esetben pedig a kísérleti alanynak meg kellett jelölnie a nevét a képernyőn. A gesztusok elvileg arra használhatók, hogy általuk lehessen hozzáférni az eszközhöz, illetve elindítani azt az alkalmazást, amelyik a biztonságos hozzáféréshez szükséges sokféle jelszót őrzi.


Mindenki másképp fordítja el a virtuális zárat: egyedi a kézméret, az ujjak távolsága, a forgatás sebessége és szöge

Jóllehet a jelszavak rugalmasan alakíthatók, azért számítanak gyenge megoldásnak, mert a felhasználóknak korlátozott a memóriájuk, és hajlamosak kifecsegni titkaikat. A legtöbb embernek legalább egy tucat jelszót kell használnia, és vagy olyan bonyolultakat kell választaniuk, amelyeket képtelenség fejben tartani - leírják tehát -, vagy könnyű megfejteni őket. Az erre szakosodott bűnözők meglehetős ügyességre tettek szert abban, hogy a számítógépekre csempészett rosszindulatú szoftverek révén ellopják a jelszavakat, vagy arra veszik rá a felhasználókat, hogy begépeljék ezeket egy hamis weboldalon kialakított űrlapba.

Az olyan vállalatok, mint a Facebook és a Twitter, csak tetézték a jelszavakkal kapcsolatos frusztrációt. A felhasználónevek és jelszavak kombinációjának használatával egy több millió internetes oldalra vezető ajtót tárnak szélesre a felhasználók előtt, ez a kényelem pedig nyilvánvalóan számos kockázat forrása. Ha ugyanis egy tolvaj megszerzi egy account adatait, máris rengeteg kapcsolódó felhasználó adatai is megnyílnak előtte.


A jelszó alternatívája lehet aláírásunk használata az érintőképernyőn

Rachna Dhamija, egy kaliforniai számítógépes szakember azért alapított vállalkozást, hogy felvegye a harcot a jelszavak feltörésével szemben. A megoldást a jelszavak feldarabolásában vélte megtalálni. A felhasználónak először be kell jelentkeznie Dhamija UsableLogin nevű szolgáltatására saját részleges jelszavával. A szolgáltatás ellenőrzi, hogy a felhasználó engedélyezett eszközt vesz-e igénybe a kapcsolat felépítéséhez, majd a két jelszóelemhez hozzáilleszti a felhőből vett harmadik darabot; a három részből így egy egyedülálló jelszó jön létre, amellyel a felhasználó már bármilyen internetoldalra - így a Facebookra is - bejelentkezhet. Más szavakkal: a jelszónak csak az egyik darabja van a felhasználónál, a másikat az általa használt eszköz raktározza, a harmadik darabot online rendelik hozzá, vagyis a felhasználó jelszava teljes formájában sehol sem található meg, így nem is tulajdonítható el.

De mi van akkor, ha egy felhasználó számára a munkafolyamat kezdetén engedélyezték a hozzáférést, de egy órával később már más ül ugyanahhoz a számítógépéhez? A Darpa, az amerikai védelmi minisztérium technológiai kutatásokkal foglalkozó szervezete azzal bízta meg a biztonsági kutatókat, hogy olyan módszereket fejlesszenek ki, amelyek révén egy felhasználó folyamatosan, minden pillanatban azonosítható a géphasználati szokásai alapján - például az egérkezelésének módjával, illetve azzal, ahogyan e-mailben kommunikál. Mindezeknek a technikáknak a kifejlesztését az a felismerés motiválja, hogy önmagában egy jelszó kevés az online azonosságot igazolásához, a megerősítést pedig valamilyen kiegészítő jelszóelemnek kell szolgálnia. Ilyen lehet a sok vállalat gyakorlatában - az azonosítás második fázisaként - elterjedt kártyás vagy hardverkulcsos beléptetés a belső hálózatokba, és alternatívaként a biometrikai azonosítás is előtérbe kerül.

Legkevesebb hat olyan bank van az Egyesült Államokban, ahol az azonosításhoz az ügyfeleknek a megszokott PIN-kód megadásán felül egy rövid kis mondatot is be kell diktálniuk a telefonnal összekapcsolt számítógépnek. Ez lehet olyan végtelenül egyszerű is, mint az, hogy "at my bank", és akár egymilliónyian is mondhatják ugyanazt, még akkor is mindegyik jól megkülönböztethető a másiktól - állítják a technológiát kifejlesztő Nuance Communications szakértői.

Mivel a mobiltelefonok világszerte úgyszólván az emberek "testrészei" lettek, értelemszerű, hogy az azonosság igazolásánál is fontos szerepük van. A Google nemrégiben mutatta be a maga kétlépéses azonosítási eljárását. Ez egy hatjegyű kódot küld egy alkalmazásnak a Google-felhasználó mobiljára, és ezt kell megadni a jelszóval együtt ahhoz, hogy valaki hozzáférjen saját Google-környezetéhez. A kód érkezhet SMS-ben vagy telefonhívással is, olyanokra gondolva, akik (még) nem rendelkeznek okostelefonnal.

Ezt az extra azonosítási lépést a Google nem teszi kötelezővé, és azt sem árulja el, hogy hány felhasználó alkalmazza, de azt hangsúlyozza, hogy egy olyan sérülékeny, könnyen eltulajdonítható dolognál, mint amilyen a jelszó, mindenképpen fontosnak gondolja kiegészítő azonosítási elem - kézenfekvően a mobiltelefon - használatát. "Úgy gondolom, rövidesen egyre több olyan emberrel találkozunk majd, akik azonosítóként használják mobileszközeiket - vélekedett Brendon Wilson, a Symantec biztonsági szakértője. - A jelszó elveszíti egyedüli azonosítási szerepét, és több biztonsági réteg is körülveszi majd."

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • okosan gyerekek #18
    Egy érintős eszköz funkcionálhat perifériaként azokon az eszközökön, ahová be akarsz lépni. Másfelől, nem feltétlen mindenkinek van igénye ekkora biztonságra, akinek szükséges, ez óriási előre lépést könyvelhet el... de tény, akinek van egy ilyenje, az is örülhet, hogy nem kell többé észben tartani a jelszavát, ez mintegy mesterpasszként funkcionálhat az összesjelszóhoz...
  • gforce9 #17
    Hatalmas?... hát valóban hatalmas.. apparátus kell mögé. Most komolyan minden beléptető rendszer mellé, bonyolult algoritmusokat kezelni tudó processzorokat - szoftvereket és érintőképernyőt teszünk? Ennyire fullmindegy az erőforrásigény?
  • nextman #16
    Nekem ugyan ne vakuzzon senki a szemembe...
  • precision #15
    ráadásul a mai érintőkijelzők nem képesek az érintés erősségének mérésére/megkülönböztetésére :)
  • precision #14
    jó, most a jelszavak leváltásáról van szó

    te pedig csak az érintőképernyőről beszélsz, mármint, amit leírsz az csak touchscreenen alkalmazható

    mi van a hagyományos beviteli módokkal, ahol nem áll rendelkezésre érintőképernyő?
  • okosan gyerekek #13
    de az.

    Másfelől, nem az a cél, hogy egyformán tudd reprodukálni a mozdulatot, hanem az, hogy a sokszor tanított mozdulat során a gép rögzíti azokat az általánosságokat, amik mindig, vagy szinte mindig megjelennek a mozdulatodban, és próbál eltekinteni azoktól, amelyek a különös szintjén jönnek be: azt a pár az általánostól eltérő, vagy minden alkalommal más és más módon produkált mozdulatot. Ilyen lehet a nyomás erő, a sebesség, az ujjak relatív távolsága, az ujjak adott ponton bekövetkező relatív elmozdulása, a leggyakrabban észlelt kézremegésből fakadó nyomáskülönbségben mutatkozó oszcilláció, rengeteg információ ez... annyi, hogy ezt más biztosan nem, és esetleg idegesség hatására - amit például kényszerítés válthat ki - maga a tulajdonos sem tud reprodukálni. Ez pedig hatalmas előre lépés a jelszavakhoz képest. Tényleg hatalmas!
  • okosan gyerekek #12
    az ujjlenyomatod ki tudják kényszeríteni tőled, kicsit morbidabb esetben pedig nélküled is használható... egy ilyen rendszer, amiben a szokványos mozdulataid ellenőrzi a gép, még az is elképzelhető, ha stresszesebb vagy, akkor nem tudod megfelelően bevinni a mozdulatot; így fölösleges is lehet kényszerítéssel próbálkozni, mert a remegő kéz, több nyomáspontot generál, amire a gép élből elutasítja a belépést. Ez nagyon ígéretesnek tűnik!
  • gforce9 #11
    Jogos meglátás. Ha egy jelszó lopás történik, max megváltoztatod, Ha az ujjlenyomatot, már picit bonyolultabb az ügy.
  • Adenoma #10
    nehogy már mindenki ismerje az ujjlenyomatomat, az irisemet, meg folyamatosan monitorozzon az ipad, etc, mert akkor a weblapok csak azt nem gyűjtik össze rólad, hogy milyen büdöset szartál.

    Én inkább megjegyeztetem azt a 40 jelszavam azzal a böngészővel egy olyan gépen, amelyet csak én használok, és azt védem egy rendes jelszóval, vagy ujjlenyomatolvasóval...
  • finizlik #9
    Ezek olyan nagy faszságok...

    Én nem tudom 2x ugyan úgy aláírni a dolgaimat... És azt a csoda zárat se tudnám 2x ugyan úgy elfordítani...

    Meg nekem ne mondja senki hogy egy ilyen biztonságosabb mint egy 8 karakteres kis és nagybetűket + számot tartalmazó kódsorozat...

    Pláne hogy azt részegen is be tudod írni ezeket meg nehezen...